nslookup返回nxdomain但浏览器能打开网站,通常因nslookup直连指定dns且不读/etc/hosts或nsswitch.conf,而浏览器走系统完整解析链;应优先用dig +short查全记录并对比getent hosts验证真实解析路径。
nslookup 返回 NXDOMAIN 但浏览器能打开网站
这通常不是 DNS 问题,而是 nslookup 默认查 A 记录,而网站可能只配置了 AAAA(IPv6)或用了 CDN 回源策略。更关键的是:nslookup 不走系统 /etc/nsswitch.conf 配置,也不读 /etc/hosts,它直连你指定的 DNS 服务器(或系统默认 DNS),和浏览器实际走的解析链不一致。
实操建议:
- 先用
dig +short example.com看全部记录类型,别只信nslookup example.com - 加
@8.8.8.8显式指定 DNS,比如dig @8.8.8.8 example.com A,排除本地 DNS 缓存干扰 - 检查
/etc/hosts:如果浏览器能开,ping example.com却不通,大概率是 hosts 里写了 IP -
nslookup的交互模式容易误操作——输错域名后按回车会沿用上一个服务器,建议非交互式调用,如nslookup example.com 1.1.1.1
dig 输出里 question/answer/authority/authORITY section 是啥
这不是冗余信息,每段都对应 DNS 查询的实际响应层级。搞不清它们,就看不懂为什么缓存没生效、为什么 CNAME 没展开、为什么权威服务器返回了 referral。
实操建议:
-
QUESTION SECTION是你发出去的原始请求(比如查A还是CNAME) -
ANSWER SECTION是最终结果——但如果只有CNAME记录,说明还没递归完;真要的 IP 地址可能在下一轮查询里 -
AUTHORITY SECTION是告诉你的“去问谁”,通常是该域名的 NS 服务器列表;如果这里出现SOA,说明查无此域(NXDOMAIN) - 加
+trace会逐级显示从根 → 顶级域 → 权威服务器的过程,适合排查委派断裂,但注意它不走本地缓存,纯模拟递归
为什么 dig 和 nslookup 查同一个域名,结果 IP 不一样
根本原因在于:它们默认行为不同,且对系统配置的依赖程度不同。dig 更“干净”,nslookup 更“粘人”——它会继承 shell 的 DNS 设置、环境变量甚至历史命令上下文。
实操建议:
-
dig默认查系统配置的 DNS(/etc/resolv.conf),但不会读/etc/hosts;nslookup在非交互模式下也查 resolv.conf,但交互模式下可能沿用上一条命令的 server - 确认当前真实使用的 DNS:运行
cat /etc/resolv.conf,再分别执行dig @$(head -1 /etc/resolv.conf | awk '{print $2}') example.com和nslookup example.com $(head -1 /etc/resolv.conf | awk '{print $2}') - 如果你开了 systemd-resolved 或 dnsmasq,
dig可能走 127.0.0.53,而nslookup直连上游;这时看systemd-resolve --status比较靠谱 - 别信“默认一样”——
dig默认超时 10 秒,nslookup是 30 秒;网络卡顿时,一个超时返回空,一个还能等出结果
线上服务解析失败,但 dig/nslookup 本地能查到
这几乎可以锁定是目标机器自身的问题,而不是 DNS 服务器挂了。本地能查,说明公网 DNS 正常;服务起不来,大概率是它没走你预期的解析路径。
实操建议:
- 登录目标机器,别在自己电脑上测:运行
dig example.com +short和getent hosts example.com——后者才模拟 glibc 实际调用路径 - 检查
/etc/nsswitch.conf:如果hosts:行里没有dns,或者顺序错了(比如写成files mdns4_minimal却漏了dns),gethostbyname()就不会查 DNS - 容器环境要额外看:是否覆盖了
/etc/resolv.conf?是否用了--dns参数但宿主机防火墙拦了 UDP 53? - 某些 Go 程序(如早期 Kubernetes 组件)默认用 cgo 解析器,但若编译时禁用了 cgo,就会 fallback 到纯 Go 解析器——它不读
/etc/nsswitch.conf,只认/etc/resolv.conf,且不支持 search domain
真正麻烦的不是命令不会用,而是你以为在测 DNS,其实是在测本地配置、libc 行为、容器网络栈,甚至 Go 编译选项。盯住 getent hosts 和 strace -e trace=connect,sendto,recvfrom your_app,比反复敲 dig 有用得多。
